Cyber-Sicherheit ohne Industrie im Visier?
NIS-2-Umsetzung: ZVEI warnt vor Überregulierung und Milliardenkosten
Mittwoch, 09. Juli 2025
| Redaktion
Teilen auf:
Sarah Bäumchen, ZVEI-Geschäftsführerin, kritisiert den vorliegenden Referentenentwurf zur NIS-2-Umsetzung
Sarah Bäumchen, ZVEI-Geschäftsführerin, Bild: ZVEI / Laurence Chaperon

Der ZVEI kritisiert den aktuellen Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie. Der Verband fordert praxisgerechte, EU-weit einheitliche Lösungen zur Stärkung der Cyber-Sicherheit. Denn die deutsche Elektro- und Digitalindustrie schlägt Alarm. Der aktuelle Referentenentwurf ignoriere wesentliche Vorschläge aus der Praxis, so der ZVEI. Angesichts wachsender Gefahren durch Ransomware, DDoS und Angriffe auf Lieferketten fordert ZVEI-Geschäftsführerin Sarah Bäumchen eine entschiedene Kurskorrektur: „Die Bedrohungslage im Cyber-Raum eskaliert! Das zeigen die Einschätzung von ENISA und BSI in aller Deutlichkeit.“

Entwurf für NIS-2-Regulierung bedeutet Milliardenkosten für die Industrie

Gute Regulierung könne nur wirksam sein, wenn sie gemeinsam mit der Industrie entwickelt werde. Andernfalls drohten hohe Belastungen ohne nachhaltige Wirkung. Der ZVEI warnt vor einem Erfüllungsaufwand von über 2,3 Milliarden Euro jährlich und kritisiert eine fehlende strukturelle Einbindung der Industrie in die Ausgestaltung des Gesetzes. „Statt unter Einbeziehung der Expertise der Industrie Lösungsansätze zu finden, soll Regulierung im Alleingang vorangebracht werden, mit Milliardenkosten für die Wirtschaft!“

Zentrale Kritikpunkte an Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie

Der Verband kritisiert insbesondere vier Punkte:

  • Nationale Sonderwege statt europäischer Harmonisierung: Deutschland drohe durch zusätzliche Auflagen („Gold Plating") vom einheitlichen EU-Kurs abzuweichen.
  • Ignorierte Standards: Die NIS-2-Umsetzung erkenne etablierte Zertifizierungen wie ISO 27001 nicht ausreichend an.
  • Zersplitterte Meldewege: Statt einer zentralen EU-Plattform müssten Unternehmen weiterhin in nationale Systeme melden.
  • Überregulierung ohne Rückkopplung: Technisch versierte Akteure würden nicht ausreichend in die Gestaltung eingebunden.

„Der vorliegende Referentenentwurf ignoriert weitestgehend diese von der Elektro- und Digitalindustrie vorgeschlagenen praxisnahen Reformen.“ Die Folge sei nicht mehr, sondern weniger Resilienz und ein regulatorisches Umfeld, das unnötige Risiken für den Wirtschaftsstandort schaffe. „Wer Cyber-Sicherheit ernst meint, muss die Industrie ernst nehmen. Ignoriert die Bundesregierung den Input aus der Industrie weiterhin, wird aus Regulierung schnell ein unnötiges Risiko!“

Zentrale Positionen aus der ZVEI-Stellungnahme vom Mai 2025

Bereits im Mai 2025 hatte der ZVEI in einer ausführlichen Stellungnahme wesentliche Anforderungen an eine praktikable Umsetzung der NIS-2-Richtlinie formuliert. Der Verband sieht sich nicht nur als Regelungsadressat, sondern als aktiven Mitgestalter sicherer digitaler Infrastrukturen. „Die Elektro- und Digitalindustrie ist strategischer Partner bei der Stärkung der Cyber-Resilienz. Ihre Perspektive muss strukturell in den deutschen Umsetzungsprozess integriert werden.“

Zu den zentralen Forderungen des ZVEI gehören:

  • Keine nationalen Alleingänge: Die NIS-2-Richtlinie soll 1:1 in nationales Recht umgesetzt werden, ohne zusätzliche deutsche Sonderregelungen.
  • Zentrale EU-weite Meldeplattform: Sicherheitsvorfälle sollen europaweit über ein gemeinsames Portal gemeldet werden können.
  • Anerkennung etablierter Standards: ISO 27001-Zertifizierungen müssen als gleichwertige Erfüllung anerkannt werden.
  • Klarer Anwendungsbereich: Unternehmen benötigen eindeutige Kriterien zur Selbsteinstufung, um Rechtsunsicherheiten zu vermeiden.
  • Stärkung der Lieferkettensicherheit: Der ZVEI schlägt eine Toolbox mit Vorlagen und Bewertungskriterien zur Cyber-Sicherheit in der Lieferkette vor.

„Eine doppelte Regulierungsbelastung verursacht nicht nur unnötige Kosten, sondern bindet Ressourcen, die stattdessen in die tatsächliche Sicherheitsarbeit fließen sollten.“

Auch interessant für Sie

NIS-2 Cyber-Sicherheit
Neue EU-Regularien wie MVO, NIS-2 und der CRA bringen Anforderungen mit sich, die ein Umdenken bisheriger Strukturen erfordern. Hersteller, Integratoren und Betreiber werden sich intensiv damit befassen müssen.
Die NIS-2-Richtlinie stellt schärfere Anforderungen an Zutrittskontrolle und Datenschutz für eine höhere Cyber-Sicherheit
Dr. Dirk Stenkamp, Vorsitzender des Vorstands bei Tüv Nord, Bild: Frauke Schumann / Tüv Nord
Datensicherheit
Präsidentin des BSI - Claudia Plattner
Keywords:
ZVEI Cybersecurity Security NIS-2